Получено электронное письмо о злоупотреблении на нашем общедоступном DNS-сервере

У нас есть несколько виртуальных машин в публичной сети из-за публичных IP-адресов. Сегодня мы получили следующее электронное письмо:

Мы получили следующую жалобу на xxx.xxx.xxx.xxx. Проведите расследование, примите все необходимые меры и ответьте на это письмо с подробными сведениями о разрешении в течение 24 часов, чтобы избежать приостановки и / или прекращения действия за нарушение Условий. Чтобы гарантировать получение всех сообщений, не открывайте заявку в службу поддержки. Просто ответьте на это письмо, и мы свяжемся с вами. Открывайте заявку в службу поддержки только в том случае, если вам нужен технический специалист для приостановки работы сервера.

| ------------------------------------------------- --------------- | | Ниже этой строки приведен пример полученной нами жалобы: | | ------------------------------------------------- --------------- |

Тема: Открытый рекурсивный преобразователь, используемый для атаки: xxx.xxx.xxx.xxx Тело: Похоже, вы запускаете открытый рекурсивный преобразователь по IP-адресу xxx.xxx.xxx.xxx, который участвовал в атаке на нашего клиента, создавая большие ответы UDP на поддельные запросы, причем эти ответы становятся фрагментированными из-за своего размера.

Пожалуйста, рассмотрите возможность перенастройки вашего распознавателя одним или несколькими из следующих способов:

• Чтобы обслуживать только своих клиентов и не отвечать на внешние IP-адреса (в BIND это делается путем определения ограниченного набора хостов в «allow-query»; с DNS-сервером Windows вам потребуется использовать правила брандмауэра для блокировки внешнего доступа на порт UDP 53)
• Для обслуживания только тех доменов, для которых он является авторитетным (в BIND это делается путем определения ограниченного набора хостов в «allow-query» для сервера в целом, но с установкой «allow-query» на «любой» для каждой зоны)
• Для ограничения скорости ответов на отдельные исходные IP-адреса (например, с помощью ограничения скорости ответа DNS или правил iptables)

Более подробную информацию об этом типе атаки и о том, что каждая сторона может сделать для ее смягчения, можно найти здесь: http://www.us-cert.gov/ncas/alerts/TA13-088A

Если вы интернет-провайдер, также проверьте конфигурацию своей сети и убедитесь, что вы не разрешаете поддельному трафику (который якобы исходит от внешних IP-адресов) покидать сеть. Хосты, которые разрешают поддельный трафик, делают возможным этот тип атаки.

Примеры ответов DNS от вашего распознавателя во время этой атаки приведены ниже. = 20 Отметки даты / времени (крайний слева) - это UTC.

... удалено, чтобы скрыть IP-адрес

(Последний октет IP-адреса нашего клиента замаскирован в приведенных выше выходных данных, потому что некоторые автоматические анализаторы сбиваются с толку при включении нескольких IP-адресов. Значение этого октета - «185».)

Я перешел по ссылке:

https://www.us-cert.gov/ncas/alerts/TA13-088A

Насколько мне известно, злоумышленники используют наши серверы, чтобы вызвать атаки отказа в обслуживании, по крайней мере, это то, что я понял из ссылки.

Предлагается внести следующие изменения:

Мои вопросы: вызовет ли это проблемы с другими виртуальными машинами в сети и решит ли это проблему? Есть ли какие-то последствия для этого изменения?

У вас есть предложения по решению этой проблемы? У нас есть 3 контроллера домена, которые нам, вероятно, нужно настроить, чтобы предотвратить это.

Заранее спасибо!

ИЗМЕНИТЬ # 1

Если мы настроим правило брандмауэра так, чтобы оно включало только наши IP-адреса в порт 52, решит ли это нашу проблему? Просто мысль.